Discussion :

[Baldy]

Bonjour

Ayant vu une faille sur un site je me suis empresser de la corriger. En effet le sous répertorie "upload" était accessible librement. Pour celui ci j'ai simplement corrigé le soucis en y mettant une page index.html avec une rediction automatique vers l'index de l'accueil du site. Mais les fichiers sont toujours accessibles si on connait leur nom.

Sachant que le site est acessible uniquement via un login/mdp, comment devrais procéder si je veut empêcher l'accès à ces fichiers SAUF si on est loggé correctement?

Merci

[marcha]

Salut,

Tu peux faire ainsi:

1) tu mets un .htaccess qui interdit l'accès http
2) tu crée une page php hors de ce dossier qui permet de servir les fichiers.
par exemple: download.php?file=nom_du_fichier et dans ton code tu vérifie
la session et tu sers le fichier avec readfile par exemple. (ajoute les headers
appropriés)
3) (éventuellement) tu fais un url rewriting pour redonner des urls similaire à avant.
dans le genre: /fichiers/toto.jpg => /download.php?file=toto.jpg

dans download.php un peu de sécurité s'impose pour éviter de permettre à tes
utilisateurs de télécharger des fichiers ailleurs que depuis le dossier voulu.

[Baldy]

J'ai tenté l'idée du .htaccess mais evidemment ça bloque aussi l'accès aux fichiers (PDF dans le cas précis) quand on veut les consuklter via le site en étant correctement logué.

Maintenant je ne suis pas sur d'avoir compris ton idée avec le fichier annexe

[marcha]

Maintenant je ne suis pas sur d'avoir compris ton idée avec le fichier annexe

C'est la clé du problème

en bloquant complètement un répertoire avec un .htaccess tu empêche apache
de servir son contenu.

par contre tu peux aller lire les fichiers depuis php. Il y a plusieurs manières de
faire, mais regarde déjà un peu la fonction readfile celle-ci
permet de lire un fichier sur le disque et de l'envoyer au client.

Regarde les exemples dans la doc, tu verra c'est pas sorcier

[Baldy]

Dis moi si j'ai bien compris le principe.

La fonction permet de mettre les infos du fichier concerné en mémoire et les retransmet ensuite au poste client?

[marcha]

oui c'est juste.

sauf que le fichier n'est pas chargé dans son entier en mémoire avant d'être envoyé, cela se passe par paquets pour éviter d'utiliser trop de mémoire. (un flux avec un tampon) mais la manière exact du fonctionnement change rien à
la solution :-)

C'est assez similaire à ce qu'apache fait quand il sert un fichier en fait.